플랫폼 기업들이 급성장하면서 데이터의 경제적 가치도 높아지고 있다. 유통뿐 아니라 금융·의료 등 대부분의 산업군에서 이용자 데이터를 활용해 개인 맞춤형 서비스를 제공하고 있기 때문이다.
그러나 데이터의 활용도가 높아질 수록 반대급부로 과도한 개인정보 노출에 대한 우려도 커지고 있다. 법조계 일각에서는 개인정보의 과잉 보호가 국가의 데이터 주권을 위협할 수 있다는 우려가 나오는 한편, 다른 쪽에서는 기업의 과도한 이용자 데이터 수집을 개인정보 보호 차원에서 제재해야 한다고 주장한다. 이런 논란에 대해 최근 대법원 법원행정처는 데이터 수집·활용의 적법상 판단 기준에 관한 연구에 착수하기로 했다.
◇구글·메타 이용자 ‘행태 정보’ 수집해 과징금 1000억원
지난해 9월, 세계적인 플랫폼 기업들의 개인정보 수집이 우리 정부의 ‘철퇴’를 맞은 사건이 있었다. 개인정보보호위원회는 구글과 메타(옛 페이스북)가 이용자들의 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용했다며 1000억원(구글 692억4100만원, 메타 308억600만원)의 과징금을 부과했다. 이들 기업이 이용자의 웹사이트 방문 이력, 검색 이력, 앱 사용 이력, 결제 이력 등 개인의 관심·성향·기호 등을 분석할 수 있는 ‘행태 정보’를 무단으로 수집했다는 이유에서다. 온라인 맞춤형 광고 플랫폼의 행태 정보 수집·이용이 정부의 제재를 받은 것은 이때가 처음이었다.
행태 정보의 가장 큰 문제는 자신의 어떤 정보가 수집되는지 예측하기 어렵다는 것이다. 또 특정 계정으로 접속한 모든 기기에서 활동한 행태 정보가 계속 쌓이기 때문에 민감한 정보가 유출될 우려도 있다. 현행 개인정보보호법은 제3조1항에 따라 ‘필요한 범위 내에서만 최소한의 개인정보를 수집하도록’ 규정하고 있다.
기업뿐 아니라 정부 차원에서 추진 중인 데이터 공유 및 연동 활동 역시 문제로 제기된다. 이는 여러 기관에 산재해 있던 데이터를 한곳에 모아서 관리·활용할 수 있게 해 행정의 신속성·편리성을 향상시킨다는 장점이 있는 반면 정부의 공권력이 개입해 개인정보 유출 위험을 높인다는 부작용도 지닌다. 개별 동의를 기반으로 개인정보를 수집하는 민간 기업과 달리, 공공기관은 주민등록번호와 주소, 개인 소득 및 의료정보 등 민감한 정보를 법령에 따라 ‘별도 동의 없이’ 대량으로 수집하고 있기 때문이다.
데이터 수집과 활용을 둘러싼 분쟁은 앞으로도 빈번하게 발생할 것으로 예상된다. 이에 법원은 데이터 수집·활용의 적법성 판단 기준을 연구하기로 했다. 이용자 데이터의 광범위한 수집·유통·활용이 빈번한 상황에서 정보 주체의 실질적 선택권을 보호하고, 적법성 판단 기준을 정립해 향후 발생 가능한 분쟁 사안에서 혼선을 최소화하는 방식으로 데이터 활용을 촉진하겠다는 방침이다.
법원행정처는 “개인정보 보호는 당연히 필요하지만, 공익 목적 및 빅데이터 산업의 기초 자료 조성 등을 위해 일정 기준을 충족하는 경우에 이용자 데이터 수집·활용을 허용할 필요성 역시 존재한다”고 설명했다. 무분별한 정보 수집 및 과도한 영리적 이용은 경계해야 하지만, 공익 목적의 데이터 공유나 빅데이터 산업을 위한 자료 수집 등 사회적으로 적정한 데이터 활용은 허용해야 한다는 얘기다.
◇유럽, 개인정보 보호 적극적…1조원대 과징금도 부과
전세계에서 개인정보 보호에 대한 대중의 민감도가 가장 높은 곳이 유럽이다. 2018년 5월 시행된 유럽 일반개인정보보호법(GDPR)은 유럽 소재 기업뿐 아니라 유럽을 무대로 활동하는 모든 기업에 적용된다. GDPR을 위반한 기업은 전세계에서 1년 동안 낸 매출액의 최대 2% 또는 1000만유로(약 143억원) 중 높은 금액을 과징금으로 납부해야 한다. 위반으로 인한 파장이 심할 경우에는 과징금 상한이 각각 4%, 2000만유로(약 286억원)까지 높아진다.
실제로 이용자들의 고유 정보를 무단 수집한 아마존은 2021년 룩셈부르크 감독기구로부터 7억4600만유로(약 1조700억원)의 과징금을 부과 받은 바 있다. 메타는 ‘왓츠앱’의 이용자 휴대전화 주소록에 저장된 지인 번호 중 자사 이용자의 번호가 있을 경우 왓츠앱 주소록에도 자동 등록하는 기능을 제공해 아일랜드에서 2억2500만유로(약 3200억원)의 과징금을 부과 받았다. 구글도 2019년 가입자들에게 제공하는 개인정보 이용 계약 설명이 모호하고 제공 동의 절차가 불투명하다는 이유로 프랑스에서 제재를 받았다.
이처럼 유럽 국가들은 이용자 데이터 수집·활용에 대한 별도의 보호책을 갖고 있다. 다른 개인정보와 연계 분석될 경우 개인정보 노출 및 침해 위험성이 높아지기 때문이다. 유럽연합(EU)은 GDPR 외에도 행태 정보 기반 추적 기술 ‘쿠키’에 대한 별도 프라이버시 규정을 두고 있다. 또 EU의 ‘디지털 시장법’은 핵심 플랫폼 기업이 수집한 개인정보를 맞춤형 광고에 이용하는 것, 다른 수단으로 수집한 개인정보와 결합하거나 다른 서비스와 교차해 사용하는 것을 금지하고 있다. 이용자의 명확하고 명시적이며 정보에 입각한 별도의 동의가 있는 경우에는 예외적으로 맞춤형 광고가 가능하나, 미성년자에 대한 맞춤형 광고는 엄격히 금지한다.
미국도 마찬가지다. 캘리포니아주의 ‘소비자 프라이버시 법’도 쿠키를 고유 식별자 또는 고유한 개인 식별자의 한 유형으로 명시하고 있다. 일본도 지난 4월 시행된 개정 개인정보 보호법에 행태 정보들이 해당되는 ‘개인관련정보’ 개념을 도입하고, 다른 정보와 결합해 정보 주체를 식별할 가능성이 있는 자에 대해 정보 주체로부터 미리 동의를 받아야 한다고 규정했다.